Cela fait un moment que je voulais écrire sur mon blog à propos de mon homelab, et pour ce premier article sur le sujet, je veux vous parler d’une solution que j’ai récemment mise en place : T-pot.
Qu’est-ce qu’un honeypot ?
Mais qu’est-ce qu’un honeypot exactement ? Un honeypot (pot de miel) est un ou plusieurs serveurs qui sont délibérément exposés pour simuler des services, applications ou ressources vulnérables, dans le but d’attirer des attaquants. l’objectif principal est de détecter, étudier et comprendre les techniques utilisées par les cybercriminels en les attirant dans un environnement contrôlé — sans mettre notre vraie infrastructure trop à risque.
T-Pot : La plateforme Multi-Honeypot Tout-en-Un
T-Pot est une solution open-source complète qui nous rend la vie beaucoup plus facile. Elle nous permet de déployer, gérer et analyser facilement plus de 20 honeypots différents (Cowrie, Dionaea, Conpot, Log4pot, etc.). T-Pot fournit une visualisation avancée en intégrant la Suite Elastic (Elasticsearch, Logstash, Kibana) pour la collecte et l’analyse de données, des tableaux de bord en temps réel, et des cartes d’attaques animées.
Tout cela tourne dans des conteneurs Docker, offrant une modularité maximale et une isolation des services.
Déployer T-Pot
Dans mon cas, j’utilise un petit pc comme honeypot (processeur : intel N100, RAM : 15G ddr5, stockage : 512G m.2). Pour déployer t-pot de manière sécurisée, je vais l’exposer à internet à l’intérieur de la dmz.
Pour l’OS, j’utilise Ubuntu 24.04 Live Server et je suis les instructions pour installer t-pot depuis le dépôt github Get and install t-pot.
WARNINGCe n’est pas un tutoriel, donc si vous voulez le faire, vous pouvez trouver la documentation sur le dépôt github (lien).
Tableau de bord T-pot
Quand il tourne, vous pouvez accéder à l’interface web pour voir les différentes visualisations.
On peut voir les différents honeypots, les cartes d’attaques, les logs, etc.
Que se passe-t-il ?
Immédiatement après le déploiement, j’ai commencé à recevoir des attaques du monde entier. C’est vraiment stressant de voir toutes les tentatives des attaquants pour entrer dans mon honeypot.
Ceci est la carte d’attaque après 2 jours de déploiement. mais le plus intéressant sont les logs dans kibana.
Comme vous pouvez le voir, le nombre de tentatives des attaquants est vraiment énorme.
Conclusion
T-pot est une très bonne solution pour déployer un honeypot de manière simple. Je n’ai pas encore testé toutes les fonctionnalités, mais je suis vraiment impressionné par la quantité de données qu’il peut collecter. Comme vous le savez peut-être, je suis passionné par la sécurité et tous les logs que je peux collecter pourraient être utilisés pour faire du threat intelligence.
Dans un futur article, je parlerai des logs et comment les utiliser pour faire du threat intelligence (avec OpenCTI).
Si vous avez des questions, vous pouvez me contacter sur mon X.